QNAP advierte sobre ataques continuos de fuerza bruta contra dispositivos NAS
QNAP está advirtiendo a sus clientes de ataques continuos dirigidos a los dispositivos NAS (almacenamiento conectado a la red) de QNAP. La empresa insta a mejorar su seguridad lo antes posible.
En estos ataques, los actores de amenazas utilizan herramientas automatizadas para iniciar sesión en dispositivos NAS expuestos a Internet. Ellos utilizan contraseñas generadas en el momento o de listas de credenciales previamente comprometidas.
Recientemente, QNAP recibió varios informes de usuarios de que ciberdelincuentes que intentan iniciar sesión en dispositivos QNAP mediante ataques de fuerza bruta. En los ataques, los ciberdelincuentes prueban todas las combinaciones posibles de contraseñas de una cuenta de usuario de dispositivo QNAP.
“Si usas una contraseña simple, débil o predecible (como ‘password’ o ‘12345’), los ciberdelincuentes pueden acceder fácilmente al dispositivo, vulnerando la seguridad, la privacidad y la confidencialidad.
Después de adivinar la combinación correcta, obtienen acceso completo al dispositivo de destino. Esto les permite obtener acceso y robar documentos confidenciales o implementar malware.
Si los atacantes no logran entrar por la fuerza bruta, los registros del sistema de los dispositivos NAS registrarán los intentos. Los intentos serán registrados con el mensaje de advertencia “No se pudo iniciar sesión”.
Cómo proteger tu dispositivo NAS de QNAP
QNAP aconseja a los clientes que protejan sus dispositivos NAS cambiando el número de puerto de acceso predeterminado. Asimismo, utilizar contraseñas seguras para tus cuentas, habilitando políticas de contraseñas y deshabilitando la cuenta de administrador destinada a estos ataques en curso.
Antes de deshabilitar la cuenta de administrador, primero deberás crear una nueva cuenta de administrador del sistema yendo a Panel de control> Usuarios.
Luego podrás deshabilitar la cuenta de administrador ‘admin’ predeterminada en los dispositivos NAS de QNAP que ejecutan QTS 4.1.2 o versiones posteriores, siguiendo estos pasos:
- Dirígete a Panel de control> Usuarios y edita el perfil de la cuenta “admin”.
- Debes marcar la opción “Deshabilitar esta cuenta” y selecciona “Aceptar”.
Además, también puedes configurar el dispositivo NAS para que bloquee automáticamente las direcciones IP tras varios intentos fallidos de inicio de sesión.
Puedes hacer esto personalizando la configuración de seguridad del dispositivo desde el Panel de control NAS> Sistema> Seguridad>IP ‘Protección de acceso’.
Los propietarios de NAS de QNAP también deben seguir la siguiente lista de verificación para proteger sus dispositivos NAS y verificar si hay malware:
- Cambiar todas las contraseñas de todas las cuentas del dispositivo
- Eliminar cuentas de usuarios desconocidos del dispositivo
- Asegúrate de que el firmware del dispositivo esté actualizado y de que todas las aplicaciones también estén actualizadas
- Eliminar aplicaciones desconocidas o no utilizadas del dispositivo
- Instalar la aplicación QNAP MalwareRemover a través de la funcionalidad del App Center
- Configurar una lista de control de acceso para el dispositivo (Panel de control -> Seguridad -> Nivel de seguridad)
Los dispositivos NAS son un objetivo atractivo
Los actores de amenazas se dirigen regularmente a los dispositivos NAS para robar documentos confidenciales o implementar malware que roba información. Esto porque generalmente se usan para hacer copias de seguridad y compartir archivos confidenciales.
En junio de 2019, una campaña del Ransomware eCh0raix (también conocida como QNAPCrypt) también apuntó a dispositivos NAS de QNAP con contraseñas débiles. En aquel momento, los ciberdelincuentes también utilizaron ataques de fuerza bruta.
eCh0raix regresó un año después, una vez más intentando obtener acceso a dispositivos QNAP expuestos públicamente. Una vez más, querían acceder mediante la fuerza bruta de cuentas con contraseñas débiles o la explotación de vulnerabilidades conocidas.
Si bien se lanzó un descifrador para descifrar archivos afectados por algunas versiones de eCh0raix de forma gratuita, esto no fue suficiente. El desarrollador del ransomware solucionó la debilidad del código.
Por el momento, no hay forma de recuperar archivos de forma gratuita a menos que hayas habilitado el servicio de instantáneas de QNAP.